تقرير موجز عن نقاط الضعف في WordPress: نوفمبر 2020 ، الجزء الأول

تم الكشف عن عدد غير قليل من مكونات WordPress الجديدة وثغرات الثغرات الأمنية خلال النصف الأول من شهر نوفمبر. يغطي هذا المنشور المكون الإضافي الأخير والموضوع ونقاط الضعف الأساسية في WordPress وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

تم تقسيم تقرير الثغرات الأمنية في WordPress إلى ثلاث فئات مختلفة: نواة WordPress ومكونات WordPress الإضافية وموضوعات WordPress.

نقاط الضعف الأساسية في ووردبريس

تم إصدار WordPress 5.5.2 في 29 أكتوبر وشمل 10 إصلاحات أمان أساسية لـ WordPress.

فيما يلي قائمة بإصلاحات الأمان المذكورة في منشور إصدار WordPress 5.5.2.

• طلبات إزالة التسلسل المشددة.
• إصلاح لتعطيل عمليات تضمين البريد العشوائي من المواقع المعطلة على شبكة متعددة المواقع .
• تم إصلاح مشكلة أمنية قد تؤدي إلى XSS من المتغيرات العامة.
• تم إصلاح مشكلة تصعيد الامتياز في XML-RPC.
• تم إصلاح مشكلة تتعلق بتصعيد الامتياز حول التعليق على المنشور عبر XML-RPC.
• تم إصلاح مشكلة أمنية حيث قد يؤدي هجوم DoS إلى RCE.
• تمت إزالة طريقة لتخزين XSS في الرخويات اللاحقة.
• طريقة تمت إزالتها لتجاوز البيانات الوصفية المحمية والتي قد تؤدي إلى حذف ملف تعسفي.
• تمت إزالة الطريقة التي قد تؤدي إلى CSRF.

نقاط الضعف في البرنامج المساعد WordPress

1. SW Ajax WooCommerce Search

تحتوي إصدارات SW Ajax WooCommerce Search الأقل من 1.2.8 على ثغرات أمنية XSS و XFS غير مصادق عليها.

2. أيقونات AccessPress الاجتماعية

تحتوي إصدارات AccessPress Social Icons الأقل من 1.8.1 على ثغرة أمنية مصادق عليها في حقن SQL.

3. دعم الامتثال لقانون حماية خصوصية المستهلك في القانون العام (GDPR)

إصدارات دعم الامتثال لقانون حماية خصوصية المستهلك في الناتج المحلي الإجمالي (GDPR) أقل من 2.4 بها ثغرة أمنية لم تتم مصادقتها لـ PHP Object Injection.

4. الواقع المعزز

تحتوي جميع إصدارات الواقع المعزز على تحميل ملف PHP غير مصدق مما يؤدي إلى ضعف RCE.

5. ويلكارت للتجارة الإلكترونية

إصدارات Welcart للتجارة الإلكترونية الأقل من 1.9.36 تحتوي على ثغرة مصادقة PHP Object Injection.

6. WooCommerce

إصدارات WooCommerce أدناه 4.6.2 بها ثغرة أمنية تتعلق بإنشاء حساب ضيف.

7. كتل WooCommerce

تحتوي إصدارات WooCommerce Blocks الأقل من 3.7.1 على ثغرة أمنية تتعلق بإنشاء حساب ضيف.

8. التخلي عن Cart Lite لـ WooCommerce

تحتوي إصدارات Cart Lite التي تم التخلي عنها لإصدارات WooCommerce الأقل من 5.8.3 على ثغرة أمنية غير مصادق عليها SQL Injection.

9. سجل نشاط WP

تحتوي إصدارات WP Activity Log أدناه 4.1.5 على حقن SQL في ثغرة أمنية في وحدة قاعدة البيانات الخارجية.

10. العضو النهائي

تحتوي إصدارات Ultimate Member الأقل من 2.1.12 على تصعيد امتياز غير مصدق عبر أدوار المستخدم وتحديث الملف الشخصي وثغرات ضعف Meta للمستخدم.

11. المراجعات النهائية

إصدارات Ultimate Reviews أدناه 2.1.33 تحتوي على ثغرة أمنية لم تتم مصادقتها PHP Object Injection.

ثغرات ثغرات سمة WordPress

1. GreenMart

إصدارات GreenMart الأقل من 2.4.3 بها ثغرة أمنية عكسية في البرمجة النصية عبر المواقع.

نصيحة الأمان لشهر نوفمبر: لماذا تحتاج إلى سجل أمان WordPress

يعد التسجيل جزءًا أساسيًا من استراتيجية أمان WordPress الخاصة بك. يمكن أن يؤدي عدم كفاية التسجيل والمراقبة إلى تأخير في اكتشاف خرق أمني. تظهر معظم دراسات الاختراق أن الوقت اللازم لاكتشاف الاختراق يزيد عن 200 يوم! يسمح هذا المقدار من الوقت للمهاجم باختراق أنظمة أخرى أو تعديل أو سرقة أو إتلاف المزيد من البيانات. لهذه الأسباب ، وصل التسجيل غير الكافي إلى قائمة OWASP العشرة الأولى من مخاطر أمان تطبيقات الويب.

تتمتع سجلات أمان WordPress بالعديد من الفوائد في إستراتيجية الأمان الشاملة الخاصة بك.

1. الهوية ووقف السلوك الخبيث.
2. حدد نشاطًا يمكن أن ينبهك إلى حدوث خرق.
3. تقييم مقدار الضرر الذي حدث.
4. مساعد في إصلاح موقع تم الاستيلاء عليه.

إذا تعرض موقعك للاختراق ، فستحتاج إلى الحصول على أفضل المعلومات للمساعدة في إجراء تحقيق سريع واسترداد.

ما هي سجلات أمان WordPress؟

تقوم سجلات أمان WordPress في iThemes Security Pro بتتبع الأحداث الأمنية المهمة التي تحدث على موقع الويب الخاص بك. تعتبر هذه الأحداث مهمة للمراقبة للإشارة إلى ما إذا كان هناك خرق أمني يحدث أم لا.

تعد سجلات أمان موقع الويب الخاص بك جزءًا حيويًا من أي استراتيجية أمنية. يمكن استخدام المعلومات الموجودة في هذه السجلات لإغلاق الجهات الفاعلة السيئة ، وتسليط الضوء على تغيير غير مرغوب فيه على الموقع ، والمساعدة في تحديد نقطة دخول هجوم ناجح وتصحيحها.

كيفية إضافة سجلات أمان WordPress إلى موقع الويب الخاص بك

أسهل طريقة لإضافة تسجيل الأمان إلى موقع الويب الخاص بك هي باستخدام مكون إضافي مثل iThemes Security Pro. بمجرد تثبيت iThemes Security Pro وتنشيطه ، سيبدأ في مراقبة وتسجيل نشاط الأمان المهم عند حدوثه على موقع الويب الخاص بك.

يقوم iThemes Security Pro بعد ذلك بتحويل البيانات من سجلاتك إلى لوحة معلومات أمان WordPress في الوقت الفعلي حتى تتمكن من الحصول على عرض أفضل لجميع أنشطة الأمان التي تحدث على موقعك.

تحقق من منشوراتنا حول سجلات أمان WordPress ، لمعرفة الأحداث الأمنية التي يجب أن تراقبها وكيفية تسجيلها.

انظر كيف يعمل

يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك

يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

احصل على iThemes Security Pro

مايكل مور

كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.